ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → Betabot木马利用Office漏洞大规模肆意传播

Betabot木马利用Office漏洞大规模肆意传播

时间:2018-06-20 00:00:00人气:作者:本站作者我要评论

Betabot木马正在传播多阶段攻击,首先恶意Office文档试图利用17年前的漏洞。

Betabot是一种恶意软件,从银行木马演变为密码窃取者,然后是能够分发勒索软件和其他恶意程序的僵尸网络。尽管可以在地下市场上以120美元左右的价格购买,但在2017年初也观察到了恶意软件的破解版本。

Betabot木马利用Office漏洞大规模肆意传播

最近发现的攻击从一个试图利用CVE-2017-11882的Word文档开始,该文件是2000年11月在Microsoft公式编辑器(EQNEDT32.EXE)组件中引入的一个漏洞。仅在去年发现,该安全错误是由微软在2017年底手动修补的。

作为此攻击的一部分,actor将OLE对象嵌入到特制的RTF文件中,以便在受害者系统上执行命令。嵌入对象(i nteldriverupd1.sct,task.bat,decoy.doc,exe.exe和2nd.bat)构成合法软件以获得预期受害者的信任。

该inteldriverupd1.sct 文件利用Windows脚本组件,并创建一个新的对象,其未来运行task.bat 脚本来检查block.txt 在临时目录中的文件,如果不存在,创建该文件,并启动第二。蝙蝠在删除之前。

该2nd.bat 脚本启动主exe文件,并杀死了文字处理,然后删除弹性目录从注册表来隐藏其踪迹,并防止文档的恢复。该脚本还会删除其他存在轨道。感染后,Decoy.doc 会显示给用户。

安全研究员Wojciech 透露,在执行时,观察到威胁连接到hxxp:// goog [。] com / newbuild / t.php?stats = send&thread = 0 。

用C#编写的exe.exe 文件显示了多层模糊处理,第一层是DeepSea算法,接着是简单的XOR和模操作。反混淆揭示了一个新文件,其资源中包含许多嵌入式图像。这些用于下一阶段。

接下来,研究人员发现了一个具有加密字符串的.Net文件。此图层旨在解密另一个文件并将其存储在字典中,并提供与恶意软件配置相关的其他信息。为此,它从资源中检索所述图像,将它们更改为内存流,解密它们,并将它们添加到字典中。

在执行期间,威胁还会检查字典中的配置并调用相应的函数。这些功能允许它检查它是否在虚拟环境中运行并将其自身复制到开始菜单。

在攻击的最后阶段,部署了一种新的Betabot变体。该示例包含一些反调试和反虚拟化技巧,然后启动与域的通信,可能用于跟踪目的。研究人员还注意到使用所述跟踪值的一些重定向,可能意味着从联盟计划中赚取一些额外的钱。

相关文章

猜你喜欢

  • 深入解析浅谈《快3单双准确率方法》成功方案

    2022-09-28 /

  • 全网首发《快3单双大小必中方法技巧》思路汇总

    2022-09-28 /

  • 资深攻略《快3大小必中技巧》上岸方法

    2022-09-28 /

  • 【最准确的玩法】《回血上岸计划导师QQ》操作系列

    2022-09-28 /

  • 经验教程《导师一分快三计划》最新窍门

    2022-09-28 /

  • 高手教你《大小单双最安全的打法》三期必中

    2022-09-28 /

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网